Podnikové certifikační autority

Certifikační autority rozlehlé sítě mohou vystavovat certifikáty platné jako digitální podpis, či vhodné pro zabezpečení e-mailu pomocí rozšíření S/MIME (Secure Multipurpose Internet Mail Extensions), pro ověření přístupu k zabezpečenému webovému serveru pomocí protokolu SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security) a pro přihlášení k doméně pomocí čipové karty.

Podniková certifikační autorita má následující vlastnosti:

• Vyžaduje přístup ke službě AD DS (Active Directory Domain Services).
  
  
• Pomocí zásad skupiny šíří vlastní certifikáty do úložiště certifikátů důvěryhodných kořenových certifikačních autorit pro všechny uživatele a počítače v doméně.
  
  
• Publikuje uživatelské certifikáty a seznamy odvolaných certifikátů (CRL) ve službě AD DS. Chcete-li certifikáty publikovat ve službě Active Directory, musí být server s instalací certifikační autority členem skupiny Certificate Publishers. Tato podmínka je v doméně daného serveru splněna automaticky, ale pro publikování certifikátů v jiných doménách je nutné serveru delegovat příslušná oprávnění zabezpečení.
  
  

	Poznámka
	Kořenovou certifikační autoritu rozlehlé sítě mohou instalovat pouze členové skupiny Domain Admins nebo správci s právem zápisu do služby AD DS.

Podniková certifikační autorita vystavuje certifikáty na základě šablon certifikátů. Při použití šablon certifikátů lze využívat následující funkce:

• Podnikové certifikační autority vynucují během zápisu certifikátu kontrolu pověření uživatelů. Pro každou šablonu certifikátu je ve službě AD DS nastaveno oprávnění zabezpečení, které určuje, zda je žadatel o certifikát autorizován získat požadovaný typ certifikátu.
  
  
• Název subjektu certifikátu může být automaticky generován z informací ve službě AD DS nebo explicitně zadán žadatelem.
  
  
• Modul zásad přidá k vystavovanému certifikátu předdefinovaný seznam rozšíření certifikátu. Rozšíření jsou definována šablonou certifikátu. Sníží se tak množství informací o certifikátu a jeho účelu zadávaných žadatelem o certifikát.
  
  
• K vystavování certifikátů lze použít automatický zápis.